SD-WAN là gì?

Một mạng liền kề ở một địa điểm được gọi là mạngmạng lưới khu vực địa phươngMùi (Mạng LAN) Một số công ty vận hành một số địa điểm và có một mạng lưới ở mỗi nơi. Các mạng riêng biệt này có thể được liên kết với nhau để tạo thành một mạng có thể được quản lý tập trung. Đây là một “mạng diện rộng,” hoặc là Mạng LAN.

Nhiều công ty hiện đang sử dụng các dịch vụ đám mây, cũng có thể được tích hợp vào mạng LAN, tạo thành một mạng LAN. Vì vậy, có nhiều lý do khác nhau để các quản trị viên mạng cân nhắc việc tạo ra một mạng LAN.

Có rất nhiều sự lựa chọn về cách liên kết mạng LAN với nhau. Các mạng và tài nguyên từ xa đó có thể được liên hệ qua internet và phương tiện đó cung cấp cách rẻ nhất và dễ nhất để hình thành mạng WAN.

Vấn đề duy nhất với internet là nó không nằm trong tầm kiểm soát của quản trị viên mạng. Nó nằm bên ngoài tòa nhà và các dây cáp làm cho nó thuộc sở hữu của các tổ chức khác. Sự mất kiểm soát đó khiến nhiều doanh nghiệp khai thác internet để kết nối các trang web phân tán với nhau.

Lợi ích của SD-WAN

Các mạng diện rộng được xác định bằng phần mềm giải quyết vấn đề kiểm soát trên phương tiện công cộng. Cổng kết nối mạng LAN với internet áp dụng mã hóa cho lưu lượng đi qua giữa các trang web, bảo vệ quyền riêng tư của họ.

Các hệ thống SD-WAN có thể định tuyến lưu lượng truy cập bằng cách sử dụng các quy ước Internet Protocol, hoặc rút ngắn địa chỉ thông qua Chuyển mạch nhãn đa kênh (MPLS) hệ thống. Nó cũng có thể gửi lưu lượng truy cập qua mạng LTE cho các thiết bị di động.

Mặc dù công nghệ này được gọi làđịnh nghĩa phần mềmTách, nó cũng có thể được thực hiện bởi một thiết bị, đó là một giải pháp phần cứng.

SD-WAN vs kết nối internet

Nhân viên trên các trang web riêng biệt có thể dễ dàng liên lạc với nhau qua internet, vì vậy Tại sao phải bận tâm với SD-WAN? Sự khác biệt chính giữa một hệ thống vận hành một loạt mạng LAN được kết nối bởi internet và mạng LAN là không gian địa chỉ của một mạng LAN được thống nhất.

Mạng LAN sử dụng các địa chỉ IP riêng chỉ hợp lệ trong mạng đó và do đó, vấn đề là điểm cuối trên một số mạng khác ở đâu đó có cùng địa chỉ IP. Điều đó cũng áp dụng cho mạng LAN của một trang web khác của cùng một công ty. Tất cả các địa chỉ trên một mạng phải là duy nhất. Vì vậy, tạo ra một mạng LAN thông qua Công nghệ SD-WAN tạo một không gian địa chỉ duy nhất trên tất cả các trang web.

Mạng LAN có thể có một trung tâm DHCP server, một máy chủ DNS, và một người quản lý địa chỉ IP. Vẫn có thể tập trung hỗ trợ mạng tại một địa điểm nếu mỗi trang web của doanh nghiệp giữ mạng LAN riêng. Tuy nhiên, điều đó có nghĩa là một quản trị viên mạng phải theo dõi một số không gian địa chỉ và điều đó có thể trở nên phức tạp.

Phần mềm SD-WAN chồng chéo các vấn đề địa chỉ internet can thiệp và chỉ hiển thị một không gian địa chỉ cho quản trị viên cho mạng riêng mặc dù mạng đó bị phân tán vật lý.

SD-WAN và VPN

Các quy trình làm việc của SD-WAN rất giống với các mạng riêng ảo (VPN). Các doanh nghiệp đã sử dụng VPN một thời gian. Ứng dụng của họ cho phép nhân viên từ xa kết nối với mạng công ty và được đối xử như thể họ ở trong cùng tòa nhà. Liên kết đến nhân viên từ xa được truyền qua internet và được bảo vệ bằng mã hóa.

Sự khác biệt giữa các chức năng của VPN và SD-WAN là ở chỗ VPN kết nối một điểm cuối duy nhất với mạng, trong khi SD-WAN tạo ra một liên kết giữa hai mạng, mỗi mạng phục vụ nhiều điểm cuối. Phần mềm SD-WAN cũng có thể cung cấp kết nối VPN cho từng công nhân.

Cả VPN và SD-WAN đều sử dụng một phương pháp có tên làđóng gói.Điều này liên quan đến việc đặt toàn bộ gói bên trong tải trọng của gói khác. Gói bên ngoài có tiêu đề riêng, không liên quan đến thông tin định tuyến có trong tiêu đề của gói ban đầu, bên trong. Gói bên ngoài chỉ tồn tại đủ lâu để có được gói bên trong qua internet.

Mục đích chính của đóng gói là cho phép mã hóa toàn bộ gói ban đầu và được bảo vệ khỏi những kẻ rình mò. Điều này có nghĩa là thông tin định tuyến có trong gói tiêu đề là tạm thời không thể đọc được, và do đó vô dụng như một nguồn thông tin cho các bộ định tuyến trên internet. Điều này có hiệu quả làm cho gói bên trong có thể vô hình mạng đối với tất cả các thiết bị trên internet. Một điểm tương đồng với quá trình này là khi một người nào đó trên hành trình đi qua một đường hầm trong một phần của con đường và do đó sẽ tạm thời vô hình với bất kỳ ai theo dõi người đó bằng trực thăng. Vì lý do này, đóng gói được gọi làđào hầm.Giáo dục

Bảo vệ kết nối SD-WAN

Phương thức bảo vệ được sử dụng phổ biến nhất cho lưu lượng SD-WAN khi truyền qua internet là IPSec. Điều này thể hiện sự tương đồng khác với công nghệ VPN vì IPSec là một trong những tùy chọn bảo mật thường được sử dụng để bảo mật VPN. Tuy nhiên, hệ thống bảo mật phổ biến nhất được sử dụng cho VPN là OpenVPN.

IPSec là một tiêu chuẩn mở, được xuất bản bởi Lực lượng đặc nhiệm kỹ thuật Internet (IETF) ban đầu là RFC 1825, RFC 1826 và RFC 1827. Một tiêu chuẩn mở có nghĩa là bất cứ ai cũng có thể truy cập định nghĩa của giao thức và thực hiện nó mà không phải trả một khoản phí. Không có hạn chế về việc sử dụng tiêu chuẩn thương mại.

IPSec là một dòng máyLớp 3Giao thức (thuật ngữ OSI). Nó là một phần của bộ giao thức TCP / IP và nằm dưới Tầng vận chuyển. Lớp giao thức này thường được thực hiện bởi các bộ định tuyến – các thiết bị chuyển mạch làLớp 2Thiết bị có thể. Ở dưới Tầng vận chuyển, IPSec không thể thiết lập phiên. Tuy nhiên, nó có thể xác thực bộ định tuyến từ xa và trao đổi khóa mã hóa. Thực tế, các quy trình này mô phỏng công việc được thực hiện bởi TCP để thiết lập một phiên.

Các hệ thống bảo mật trong IPSec chịu đựng qua các liên kết, vì vậy nó bao gồm toàn bộ hành trình trên internet. Mã hóa bao gồm các tiêu đề gói của lưu lượng mạng, tập hợp lại tất cả các gói có tiêu đề bên ngoài để đưa nó qua internet đến cổng tương ứng tại trang web từ xa.

Việc đóng gói IPSec dung hòa sự khác biệt giữa phạm vi riêng tư của địa chỉ IP mạng và yêu cầu về tính duy nhất của không gian địa chỉ internet công cộng. Giao thức IPSec định nghĩa hai phạm vi mã hóa khác nhau. Giao thức có thể được sử dụng trong mạngphương tiện giao thông.Trong trường hợp đó, chỉ có phần thân của gói được mang theo được mã hóa. Tùy chọn khác là CƠ SỞchế độ đường hầm,Phần mềm mã hóa toàn bộ gói bao gồm tiêu đề và đặt nó bên trong gói bên ngoài với tiêu đề có thể đọc được. Trong SD-WAN, IPSec là luôn được sử dụng trong chế độ đường hầm.

Phương thức mã hóa có thể được triển khai với IPSec tùy thuộc vào sự lựa chọn của nhà phát triển phần mềm triển khai. Nó có thể là TripleDES-CBC, AES-CBC, AES-GCM hoặc ChaCha20 với Poly 1305.

Triển khai SD-WAN

Là một hệ thống lớp 3, SD-WAN nên được bộ định tuyến triển khai. Tuy nhiên, có thể mua phần mềm cho máy tính thu được tất cả lưu lượng truy cập trước khi đến bộ định tuyến, quản lý các tác vụ SD-WAN và sau đó gửi tất cả ra internet thông qua bộ định tuyến. Đây là một thiết bị ảo giải pháp. Một phương pháp khác là thay thế bộ định tuyến bằng một thiết bị có phần mềm SD-WAN được nhúng trong đó.

Thiết bị hoặc tổ hợp bộ định tuyến phần mềm có thể tùy ý định tuyến lưu lượng truy cập qua SD-WAN hoặc ra ngoài internet đến các điểm đến khác. Tính linh hoạt này được gọi làchia đường hầmVì các dữ liệu của công ty dành cho một trang web từ xa của mạng LAN sẽ đi qua đường hầm SD-WAN, trong khi lưu lượng truy cập internet thông thường sẽ đi ra ngoài internet mà không được đóng gói.

Thuật ngữ SD-WAN chỉ mới xuất hiện từ năm 2014, mặc dù công nghệ cơ bản đã tồn tại lâu hơn. Tuy nhiên, phương pháp này đã được hấp thụ vào Điện toán đám mây. Điện toán đám mây gói phần mềm với phần cứng hỗ trợ và được gọi là Phần mềmPhần mềm như là một dịch vụMùi (SaaS). Phần mềm SD-WAN có thể được lưu trữ trên một máy chủ từ xa, tạo ra phần mềm mạng như một dịch vụ. Danh mục dịch vụ này được gọi làTruyền thông hợp nhất là một dịch vụ,” hoặc là UCaaS.

Trong kiến ​​trúc UCaaS, công ty khách hàng không cần mua bất kỳ phần mềm hay thiết bị đặc biệt nào. Thay vào đó, kết nối VPN từ công ty đến máy chủ đám mây kênh tất cả lưu lượng truy cập đến dịch vụ UCaaS. Các quy trình SD-WAN được áp dụng tại thời điểm đó và lưu lượng được chuyển tiếp đến trang web từ xa thích hợp, cũng được kết nối với hệ thống UCaaS thông qua VPN.

Vì tất cả lưu lượng truy cập từ tất cả các trang web đều đi qua máy chủ UCaaS, các quyết định về việc có nên định tuyến lưu lượng truy cập qua đường hầm đến một trang web khác hoặc gửi nó qua internet thông thường được thực hiện tại máy chủ đám mây.

Chiến lược định tuyến tất cả lưu lượng truy cập thông qua dịch vụ đám mây đang ngày càng trở nên phổ biến và được gọi là một tên lửadịch vụ cạnh.Đây là một phương pháp mới được các công ty an ninh mạng sử dụng để cung cấp bảo vệ tường lửa cho các mạng và dịch vụ UCaaS có thể thêm vào bảo vệ an ninh, bao gồm giám sát email. Các tính năng bổ sung khác mà hệ thống UCaaS có thể cung cấp bao gồm hệ thống lưu trữ liên tục, sao lưu và lưu trữ.

Các SD-WAN dựa trên đám mây có hiệu quả chi phí cao hơn các giải pháp tại chỗ vì chúng loại bỏ các chi phí trả trước khi mua phần cứng và phần mềm cần thiết để tạo ra mạng WAN và chúng không yêu cầu kỹ thuật viên bảo trì chúng. Các hệ thống UCaaS thường được tính phí cho một cơ sở đăng ký Chi phí một phần nhỏ của giá mua phần cứng và phần mềm để chạy trong nhà.

Ghi công hình ảnh: Mạng Internet từ Pixabay. Phạm vi công cộng.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me